Principios
para la gestión de la seguridad de los sistemas:
· No se puede decir nada útil respecto de la seguridad de un sistema si no es en un contexto concreto de aplicación.
· Nunca se debe gastar más dinero en proteger una vulnerabilidad que el gasto que supondría un ataque a través de la misma.
o Corolario 1: la seguridad perfecta tiene un coste infinito.
o Corolario 2: no existe el riesgo cero.
· No hay soluciones técnicas a los problemas de gestión; pero se pueden encontrar soluciones basadas en la gestión para problemas técnicos.
(N) Principles
for managing system security that were stated by Robert H. Courtney, Jr.
Tutorial: Bill
Murray codified Courtney's laws as follows: [Murr]
·
Courtney's
first law: You cannot say anything interesting (i.e., significant) about the
security of a system except in the context of a particular application and
environment.
· Courtney's second law: Never spend more money eliminating a security exposure than tolerating it will cost you. (See: acceptable risk, risk analysis.)
o
First
corollary: Perfect security has infinite cost.
o
Second
corollary: There is no such thing as zero risk.
·
Courtney's
third law: There are no technical solutions to management problems, but there
are management solutions to technical problems.
[RFC4949:2007]
Temas relacionados